Net :: HTTP中的服务器名称指示支持？

Question

我正在尝试让Ruby的Net::HTTP实现与SNI一起使用。

mail.google.com和gmail.com都位于相同的IP地址上，因此在通过SSL连接时，Google服务器需要知道要使用的证书。 默认情况下，它会返回mail.google.com证书，如果您尝试实施WebFinger，则会出现问题。

WebFinger要求您检索https://gmail.com/.well-known/host-meta以获取LRDD信息，但是，出于安全原因，验证SSL证书信息至关重要。

由于Google在这种情况下提供默认的mail.google.com证书，因此SSL post_connection_check失败。 这里正确的解决方案是为Net::HTTP启用服务器名称指示，但我不清楚如何使用OpenSSL的Ruby绑定。 其他人有想法吗？

您应该能够通过运行来查看问题：

require 'open-uri'
open('https://gmail.com/.well-known/host-meta') { |f| f.read }

我还创建了一个使用早期版本的curl和OpenSSL来解决问题的要点：

https://gist.github.com/7936ef38787092a22897

Answer 1

对于SNI支持，您需要更新的OpenSSL版本（带有--enable-tlsext或0.9.8j或更高版本的0.9.8f）并在SSLSocket#connect #connect之前调用OpenSSL::SSL::SSLSocket#hostname = 'hostname' 。 Net::HTTPS还不支持SNI，而open-uri则不支持。

检查httpclient开发存储库应该支持SNI。

• https://github.com/nahi/httpclient

如果您现在需要快速发布宝石，请告诉我...

Answer 2

Ruby 2.0将解决TLS SNI（服务器名称指示）问题：

来自net / http ..

#        ...
#           s.session = @ssl_session if @ssl_session
#           # Server Name Indication (SNI) RFC 3546
#           s.hostname = @address if s.respond_to? :hostname=
#           Timeout.timeout(@open_timeout, Net::OpenTimeout) { s.connect }
#           if @ssl_context.verify_mode != OpenSSL::SSL::VERIFY_NONE
#             s.post_connection_check(@address)
#           end
#           ...

要使这项工作在1.9.2（或更高版本）中应用类似的补丁到net / http

#         ...
# BEGIN:  SNI PATCH http://bugs.ruby-lang.org/issues/4351
#          s.hostname = @address if s.respond_to? :hostname=
# END:   SNI PATCH http://bugs.ruby-lang.org/issues/4351
#          timeout(@open_timeout) { s.connect }
#          if @ssl_context.verify_mode != OpenSSL::SSL::VERIFY_NONE
#            s.post_connection_check(@address)
#          end
#        ...

另见： http ： //bugs.ruby-lang.org/issues/4351 http://en.wikipedia.org/wiki/Server_Name_Indication

Answer 3

我在做这个运动的问题追捕资助一个反向移植到红宝石1.8.7 SNI希望人们可以用一毛钱或修复做出贡献，并得到所有的解决我们的问题：d